想請教各位前輩,我有一個網域管理員群組(Administrators)權限的帳號A,在一次重開機之後,原本不需要提權執行的程式,卻都變成全部都要提升本機權限(本機管理員)才能執行。有什麼原因可能造成這樣?我要怎麼讓這個帳號重新擁有網域管理員的權限?
1、近期沒有做windows更新
2、10月初有做樹系、網域等級的提升
3、有重加退群組了
1.帳號A未在 Domain Admin群組成員中或是本機Administrator群組中未有Domain Admin群組.
2.檢查GPO看一下是哪個同事動了群組原則
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/group-policy/group-policy-overview
之前有邦友問過類似的問題,您可以參考看看。
在最後一位kevinhuang大的回答中,我看到一句話(斜體加粗部份)覺得可能是關鍵:
Domain Admin ==> 此為一個安全屬性的群組,在Active Directory環境中,它擁有針對該擁有的網域中的所有物件的完全控制的權限,預設會被加入到該網域中所有電腦中的本機的Administratore管理群組中。
在看邦友討論的過程中,我也在想微軟為什麼在網域中有分Administrators及Domain Admins這兩個群組,權限都非常大,分別要應用在什麼情境?剛好看到了這句話,推論Administrators是用於DC管理上,而Domain Admins用於Client端管理用。
怎麼驗證我的推論正不正確?原PO您可以將A帳號加入Domain Admins群組中,再重新登入試試看~~